osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Trojan javascript sur mon site js:Redirector-KP [Trj]
croco
posté 7 Jan 2012, 19:36
Message #1


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 215
Inscrit : 25-February 08
Lieu : FRANCE
Membre no 20931



Bonjour à tous et bonne année.

J'ai un gros problème sur mon site, je viens de remarquer que je suis infecté depuis le 05/01/2012, ce qui est bizarre c'est que j'ai un second site en prestashop et il s'est fait infecté aussi, par le même trojan.
Je dois avoir un problème avec mon pc à mon avis.

Pour l'instant je cherche à coirriger le problème car Avast me balance des altertes à chaque fois qu'il charge un fichier .js

J'ai 2 script java qui sont appelés sur l'acceuil (pub.js et pub2.js) et Avast me les détecte les 2 comme menaçant, de même pour general.js qui se trouve dans www/includes/.

J'ai remplacé les fichiers general.js par des propres d'un ancien backup et avast ne me les signale plus par contre j'ai beau remplacer mes 2 fichiers .js de l'accueil par des propres Avast mes les signale toujours comme trojan. J'ai trouvé un fichier cronfile.php dans chaque dossier ou il y a un fichier .js, j'ai tout viré mais ça semble pas corriger le problème il doit rester quelque chose quelque part.

Si je supprime mes 2 fichiers pub.js et pub2.js ainsi que l'appel sur l'acceuil (index.php) alors il n'y a plus de problème.

Pour info Avast ne bip qu'avec Firefox, sous IE et Google chrome aucun problème.

Autre info, dans mon espace webmaster Google, aucun logiciels malveillants n'est détecté.

Si quelqu'un a une idée.

Merci de votre aide


--------------------
OSCommerce Ms2
contrib :

Easy Graphical Borders v1.1
FDP_panier 3.6.2 (Merci Bonbec)
Quantity for Product Attributes Mod
Header Tags SEO
ATOS Sogenactif
Ban Ip
Multiorders
specials enhanced v1.2.1 fr
ImageS stock, affichage de l'état du stock via une image
Reclamaposte
Go to the top of the page
 
oneill
posté 8 Jan 2012, 10:01
Message #2


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 7634
Inscrit : 28-December 03
Lieu : Hollywood les Granits
Membre no 1773



(pub.js et pub2.js) que tu cites ont-ils été installé par toi ? Sont-ils liés à une régie publicitaire ? Si oui, les programmes de ces régies sont parfois tellement invasifs dans la recherche de profil client (captage de mail, historique de navigation, etc) que certains antivirus les classe parmi les trojan tant ils en ont le comportement...


--------------------
Go to the top of the page
 
FoxP2
posté 8 Jan 2012, 10:22
Message #3


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1665
Inscrit : 3-June 09
Membre no 25501



Citation (oneill @ 8 Jan 2012, 10:01) *
(pub.js et pub2.js) que tu cites ont-ils été installé par toi ? Sont-ils liés à une régie publicitaire ? Si oui, les programmes de ces régies sont parfois tellement invasifs dans la recherche de profil client (captage de mail, historique de navigation, etc) que certains antivirus les classe parmi les trojan tant ils en ont le comportement...

+1

envois l'adresse de ton site par mp qu'on fasse un check rapide.
Go to the top of the page
 
croco
posté 8 Jan 2012, 13:26
Message #4


Ceinture orange OSC
Icône de groupe

Groupe : Membres
Messages : 215
Inscrit : 25-February 08
Lieu : FRANCE
Membre no 20931



Merci pour vos réponses smile.gif

Oui pub1.js et pub2.js ont été installés par moi, ce sont des simples scripts java qui se trouvent dans www\includes\javascript .

Je les appelle sur l'accueil avec ces morceaux de codes:

Code
<center><script language="javascript" src="includes/javascript/pub1.js"></script></center>


Ca fait 3 ans que j'utilise ces scripts et je n'ai jamais eu le moindre problème.

J'ai vérifié tous mes fichiers avec wingrep et je ne trouve aucun code malicieux du genre "eval(base64_decode...."

Plus étrange encore, j'ai installé Microsoft security sur mon pc et il ne détecte rien, un ami avec kaspersky ne détecte rien et un autre avec AVG rien non plus.
J'ai installé Avast sur mon pc portable et il ne détecte rien non plus alors qu'il me détectait mes fichiers .js comme trojan sur mon pc fixe.

La personne qui m'avait signalé ce problème me dit recevoir un message d'avertissement sur google chrome, comme quoi mon site voudrait le rediriger vers le site yworldpc.osa.pl hors moi je n'ai aucun message d'alerte sur google chrome sur mes 2 pcs et un ami pareil.

En cherchant des informations sur le fichier cronfile.php trouvé dans mon FTP à coté de chaque fichier .js je suis tombé sur une page web ou on peut voir le fichier, ce qui est bizarre c'est que c'est exactement le même, 100% identique en tout point, une copie conforme, voici le lien:
cronfile.php

Je voudrais rajouter aussi que dans mon espace webmaster Google, toujours aucun logiciels malveillants n'est détecté sur aucun des 2 sites.

De plus j'ai fais plusieurs linkscanner comme AVG , MCaffee, Norton et ils me disent tous que le site est sécurisé.

Merci de votre aide précieuse smile.gif

Edit: Je pense que le soucis est réglé, plusieurs personnes sont passées sur mon site avec différents AV et différents navigateurs et personne n'a eu la moindre alerte ou problème, pareil de mon coté. En y réfléchissant de plus en plus je pense que mon PC a été infecté et que le virus a accédé au ftp grâce à FilleZilla (pourtant à jour, mais j'avais une sauvegarde de mes profils dans un fichier fillezilla.xml) et qu'il a simplement infecté certains fichiers .js et déposé un fichier cronfile.php à coté de chacun. Lorsque j'ai remplacé mes fichiers par des sains Avast me détectait toujours un problème sur mon pc mais à mon avis c'était un problème de cache car sur mon pc portable il détecte rien et Microsoft Security Essential actuellement sur mon fixe ne détecte rien non plus. Si vous pouvez passez faire un tour sur mon site est me dire si de votre coté tout est ok ça serait parfait smile.gif

Ce message a été modifié par croco - 8 Jan 2012, 21:46.


--------------------
OSCommerce Ms2
contrib :

Easy Graphical Borders v1.1
FDP_panier 3.6.2 (Merci Bonbec)
Quantity for Product Attributes Mod
Header Tags SEO
ATOS Sogenactif
Ban Ip
Multiorders
specials enhanced v1.2.1 fr
ImageS stock, affichage de l'état du stock via une image
Reclamaposte
Go to the top of the page
 
niko_232
posté 26 Jan 2012, 14:58
Message #5


Ceinture verte OSC
Icône de groupe

Groupe : Membres
Messages : 691
Inscrit : 31-May 05
Lieu : in the land of hicks
Membre no 6041



As tu scanner ton site avec un service de type https://www.virustotal.com ?

As tu fait toutes les mises a jour ?
Y a t il beaucoup de contributions ajoutées ?
As tu protégé ton admin avec un .htpasswd ?


Dans tous les cas il faut trouver par ou le hacker a pu injecter son code.
Sinon ca risque de ne pas s'arreter.

Pour toi c'est transparent car si il voit que tu vires les trojans, alors il se servirons juste de ton serveur pour hébergé des site de phishing ,(risque de blacklistage)

Regarde aussi la console webmaster tool de goole, si un fichier est infecté, normallement il te l'affiche.

Bonne chance


--------------------
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 29th February 2020 - 14:05
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)